이상휘 의원 “13년 전 경고 무시, 소액결제 해킹 참사”

국회 과학기술정보방송통신위원회 소속 이상휘 의원(사진·포항 남·울릉)이 23일 KT 소액결제 피해는 예고된 참사라고 규정했다. 한국인터넷진흥원(KISA)이 이미 2012년에 펨토셀(femtocell·초소형 기지국) 보안 취약성을 인지하고도 별도의 조치 없이 사실상 펨토셀 해킹에 대한 우려를 묵인했다는 것이다. 

KT 소액결제 피해는 무단 소액결제 사건 용의자들이 방치돼 있던 펨토셀을 불법으로 취득해 ‘가짜 기지국’을 만든 것으로 추정되는 탓에 관리 사각지대에 놓인 펨토셀이 문제가 되고 있다. 

2013년 미국 보안 기업 iSEC 파트너스의 연구원들이 펨토셀의 해킹을 경고했고, 2016년에는 한국정보처리학회가 ‘위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구’ 논문을 통해 펨토셀 해킹 우려가 나왔다. 

이상휘 의원은 이보다 앞선 2012년에 KISA가 위탁한 연구보고서에서 관련 취약점이 지적됐다고 주장했다. KISA가 공고한 위탁과제 제안요청서에는 연구 목표를 ‘펨토셀 보안 취약점 및 위협 연구’와 ‘GRX 보안 취약점 및 위협 연구’로 명시했다. 당시 SKT가 2012년 펨토셀 상용화에 착수했고, KT는 초고속 인터넷과 결합한 펨토셀 도입을 검토하고 있었다.

보고서에서는 29가지의 펨토셀 보안 위협을 제시하고 있으며, 이번 KT 소액결제 피해의 원인으로 지목되는 사용자의 인증토큰 복제를 비롯해 통신을 주고받는 두 주체 사이에 공격자가 몰래 개입해 정보를 가로채거나 조작하는 MITM(Man-In-The-Middle) 공격 가능성이 포함됐다. 이 의원은 “이런 보고서에도 당시 별도의 조치가 없었던 것으로 보이는 점을 고려하면 사실상 KISA가 펨토셀 해킹에 대한 우려를 묵인한 셈”이라고 지적했다. 

이상휘 의원은 “펨토셀 해킹 대비 연구를 하고도 대책을 전혀 마련하지 않은 KISA가 13년 전 경고를 흘려들은 결과 소액결제 해킹 참사가 발생했다”라면서 “KISA는 제도적·실질적 대책으로 이어질 수 있도록 개선책을 마련해야 한다”고 촉구했다. 

/배준수기자 baepro@kbmaeil.com

배준수 기자

baepro@kbmaeil.com

• KT 소액결제 피해, 예고된 참사···“펨토셀 해킹 위험 알고도 대책은 전무”
• 포항, 그래핀 밸리 도약 발판 마련···‘꿈의 소재’ 그래핀 육성·지원 전국 첫 조례 제정
• 최광열 포항시의원, 냉수리 신라비 발견일 ‘기념일’ 지정 제안 ‘눈길’

다른기사 보기